HÃ¥ndbok i autorisasjon og autorisasjonssamtale - NSM

UGRADERTNasjonal sikkerhetsmyndighetVeiledningSist oppdatert: 2006-05-31Håndbok i autorisasjon ogautorisasjonssamtaleUtgitt av Nasjonal sikkerhetsmyndighetVeiledningen er utgitt i samarbeid med Forsvarets sikkerhetsavdeling og Post- og teletilsynet. Veiledningenutgis med status TIL PRØVE. Årsakene er flere, bl.a. pågår et arbeid med revisjon/endring avpersonopplysningsblanketten. Videre har praksis innen autorisasjonsutøvelsen i sivil og militær sektorvært svært ulik, og en omfattende høring av utkast til håndboken har ikke vært avholdt. Veiledningenvil derfor i løpet av høsten 2006 bli gjort til gjenstand for revisjon/revurdering. Brukerne av veiledningenbes om å komme med fortløpende innspill til eventuelle endringer. NSM vil uansett i løpet av høstengjøre brukerne oppmerksom på revisjonen og oppfordre til innspill i eget skriv.UGRADERT

NSM 2006-12-20UGRADERTInnholdsfortegnelse1 Innledning................................................................................................................................................. 41.1 Formål ............................................................................................................................................... 41.2 Hva er autorisasjon? ............................................................................................................................. 41.3 Hvorfor en autorisasjonsprosess? ............................................................................................................ 41.4 Håndbokas hensikt ............................................................................................................................... 52 Tjenestelig behov – ”need to know”-prinsippet .................................................................................................. 63 Eventuell sikkerhetsklarering......................................................................................................................... 84 Autorisasjonssamtalen ................................................................................................................................ 94.1 Hva er en autorisasjonssamtale? ............................................................................................................. 94.2 Når gjennomføres en autorisasjonssamtale? .............................................................................................. 94.3 Autorisasjonssamtalens innhold............................................................................................................... 94.3.1 Sikkerhetsorientering.................................................................................................................................... 104.3.2 Råd om gjennomføring ................................................................................................................................. 105 Autorisasjon ............................................................................................................................................ 115.1 Autorisasjonsansvarlig......................................................................................................................... 115.2 Delegering av autorisasjonsmyndighet.................................................................................................... 115.3 Vilkår for å autorisere .......................................................................................................................... 126 Reautorisasjon – SH/CTS .......................................................................................................................... 137 Eventuelle endringer ved den autoriserte....................................................................................................... 138 Reklarering ............................................................................................................................................. 149 Særskilte forhold ...................................................................................................................................... 149.1 Umyndige personer ............................................................................................................................ 149.2 Nødautorisasjon................................................................................................................................. 149.3 Bortfall av autorisasjon ........................................................................................................................ 159.4 Ufordelaktige avgjørelser ..................................................................................................................... 1510 Oppsummering ...................................................................................................................................... 1610.1 Punktvis beskrivelse av prosessen ....................................................................................................... 16Vedlegg A Dokumenthistorie ......................................................................................................................... 18Side 2 av 18UGRADERT

NSM 2006-12-20UGRADERTNasjonal sikkerhetsmyndighetNasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjenestei Norge og forvalter lov om forebyggende sikkerhet av 20. mars 1998. Hensikten med forebyggende sikkerhet er åmotvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primærtspionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende ennstrengt nødvendig, og skal bidra til et robust og sikkert samfunn.Hensikt med veiledningNSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene gjennom øktmotivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementeringav de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggendesikkerhetsarbeid.Postadresse Sivil telefon/telefaks Militær telefon/telefaks InternettadressePostboks 14 +47 67 86 40 00/+47 67 86 40 09 515 40 00/515 40 09 www.nsm.stat.no1306 BÆRUM E-postadressePOSTTERMINALpost@nsm.stat.noSide 3 av 18UGRADERT

NSM 2006-12-20UGRADERT1 Innledning1.1 FormålI den forebyggende sikkerhetstjeneste er mennesket en sentral faktor som kan utgjøre enbarriere mot sikkerhetstruende virksomhet. Mennesket kan imidlertid også utgjøre en trusselog/eller inneha et sårbarhetspotensial som kan utnyttes. Autorisasjonsprosessen er egnet tilå motivere og veilede den autoriserte til å fungere som en effektiv barriere mot sikkerhetstruendevirksomhet. Prosessen vil også kunne synliggjøre sårbarheter og trusler som ikkefremkommer av relevante registre ved gjennomføring av personkontroll.Autorisasjon og autorisasjonssamtale er derfor et verktøy som skal benyttes av den lokaleleder og sikkerhetsansvarlige som et ledd i arbeidet med forebyggende sikkerhetstjeneste.Autorisasjon og autorisasjonssamtale er beskrevet i sikkerhetslovens §§ 3 og 19 samt i personellsikkerhetsforskriftens§§ 5-1 til 5-8.1.2 Hva er autorisasjon?I sikkerhetslovens § 3 er autorisasjon under pkt. 17 definert som:[En] avgjørelse, foretatt av autorisasjonsansvarlig, om at en person etter forutgående sikkerhetsklarering(med unntak for tilgang til informasjon sikkerhetsgradert BEGRENSET),bedømmelse av kunnskap om sikkerhetsbestemmelser, tjenestelig behov samt avlagt taushetsløfte,gis tilgang til informasjon med angitt sikkerhetsgrad.Autorisasjon er i tillegg en prosess som følger en sikkerhetsklarert person i hele den periodenvedkommende har tilgang til sikkerhetsgradert informasjon og blir således en del av begrepetsikkerhetsmessig ledelse og kontroll.1.3 Hvorfor en autorisasjonsprosess?I andre land som Norge har sikkerhetsmessig samarbeid med, f.eks. andre NATO-land, gjennomførerklareringsmyndighetene sikkerhetsintervjuer (security interviews), i forbindelse medklareringsprosessen. I Norge er forutsetningen at denne type sikkerhetsintervjuer (les autorisasjonssamtaler)gjennomføres på det stedet hvor vedkommende arbeider.Sikkerhetsklareringen gis på bakgrunn av forutgående undersøkelser av et sett med kilder,og kan ses på som et uttrykk for en persons antatte sikkerhetsmessige skikkethet målt påklareringstidspunktet. Vedtaket om klarering innebærer normalt ikke vurdering av den enkelteskunnskaper om sikkerhet eller den enkeltes evne og vilje til å ivareta sikkerhetsmessigeinteresser. Etter at vedtaket om sikkerhetsklarering er meddelt, vil det være nødvendig atvedkommende bl.a. gis informasjon om lokale forhold av betydning for sikkerheten. Sikkerhetsklareringer m.a.o. ikke alene tilstrekkelig for å gi en person faktisk tilgang til sikkerhetsgradertinformasjon, og må sammen med autorisasjon ses på som to deler av en helhet.Side 4 av 18UGRADERT

NSM 2006-12-20UGRADERT1.4 Håndbokas hensiktHensikten med denne håndboka er at den skal være et hjelpemiddel for de som har ansvarfor gjennomføring av autorisasjon og autorisasjonssamtale. Håndboka er ment brukt av deansvarlige i planleggingsfasen, i forkant av autorisasjonsprosessen og som et oppslagsverk.Som et vedlegg til håndboka er det utarbeidet et skjema til anvendelse under autorisasjonssamtalen.Intensjonen er at skjemaet skal fungere som et praktisk hjelpeverktøy og dokumenteresamtalens innhold. Skjemaet skal graderes og beskyttes etter sitt innhold og oppbevaresi den enkeltes saksomslag for personellsikkerhet 1 .Håndboka er inndelt i en logisk rekkefølge (se figur 1.1), dvs. fra prosessens start til slutt,skjønt prosessen tar ikke slutt før den autorisertes arbeidsforhold opphører.Figur 1.1: Prosesshjul7Reklarering1Tjenesteligbehov2Ev.endringerved denautoriserte63AutorisasjonssamtaleReautorisasjonSH/CTSEv.sikkerhetsklarering5Autorisasjon41 Om saksomslag se forskrift om personellsikkerhet § 6-3, blankett nummer X-0136/2 B/N (godkj. 01-97).Side 5 av 18UGRADERT

NSM 2006-12-20UGRADERT2 Tjenestelig behov – ”need to know”-prinsippetEt svært viktig arbeid som skal utføres av autorisasjonsmyndigheten, er vurderingen omhvorvidt det foreligger et tjenestelig behov for tilgang til sikkerhetsgradert informasjon. Denautorisasjonsansvarlige skal vurdere nivået på tilgangen (eksempelvis t.o.m. KONFIDENSI-ELT), omfanget av tilgangen (hvilket saksfelt) og om det kan iverksettes kompenserende tiltak(eksempelvis fysiske) for å hindre tilgang til sikkerhetsgradert informasjon som vedkommendeikke har behov for. ”Need to know” prinsippet er et (velkjent) prinsipp som betyr at enikke skal ha tilgang med mindre en har et strengt tjenstlig behov for dette.Det er vanskelig å dele personellets tilgang/mulige tilgang til sikkerhetsgradert informasjoninn i enkle og klare nivå. Ved hjelp av figur 2.1 og 2.2 prøver NSM like fullt å avgrense dettetil tre hovednivåer:Den som skal ha tilgang, for eksempel en saksbehandler eller sjef ved en avdeling sombehandler sikkerhetsgradert informasjon.Den som ikke har et tjenestelig behov, men som likevel pga. den type arbeid vedkommendeutfører sannsynligvis vil kunne få vilkårlig tilgang. Personer i denne kategori kanvære personer som jobber i samme lokaler eller er vaktpersonell (også dels rengjøringspersonell).Den som ikke har et tjenestelig behov, men som kan få en mulig vilkårlig tilgang, er foreksempel den som har et kortere opphold i et område hvor sikkerhetsgradert informasjonoppbevares og behandles. Personer i denne kategori kan være servicepersonell, renovasjonsarbeidere,rengjøringspersonell m.v. og skal som hovedregel aldri sikkerhetsklarereseller autoriseres. Personene må eventuelt følges og/eller andre kompenserende tiltakiverksettes.Figur 2.1: 3 nivåSkal hatilgangVilkårlig tilgangSannsynligtilgangMuligtilgangSide 6 av 18UGRADERT

NSM 2006-12-20UGRADERTFigur 2.2: KravsmatriseNivå Tilgang Skal fylle utpersonopplysningsblankettSkal hasikkerhetsklareringSkal undertegnetaushets-erklæringSkal gjennomføreautorisasjonssamtale/sikkerhetsorientering 2AutorisasjonB Mulig Nei Nei Ja/Nei Nei/Ja NeiB Sannsynlig Ja Nei Ja Ja NeiB Skal ha Ja Nei Ja Ja JaK Sannsynlig Ja K–H Ja Ja NeiK Skal ha Ja K–CTS Ja Ja JaH Sannsynlig Ja H Ja Ja NeiH Skal ha Ja H–CTS Ja Ja JaSH Skal ha Ja SH–CTS Ja Ja JaCTS Skal ha Ja CTS Ja Ja JaEksempel: En rengjøringsassistent som arbeider uten følge i beskyttet område (hvor det behandlesopp til KONFIDENSIELT), og som rengjør under oppsyn i et sperret område (hvor det oppbevarest.o.m. HEMMELIG), fyller ut personopplysningsblankett, klareres for KONFIDENSIELT, undertegnertaushetserklæring og gjennomfører en sikkerhetsorientering, men autoriseres ikke.2 Sikkerhetsorientering er nærmere beskrevet i pkt. 4.3Side 7 av 18UGRADERT

NSM 2006-12-20UGRADERT3 Eventuell sikkerhetsklareringNår det tjenestelige behov er vurdert og det er behov for tilgang til KONFIDENSIELT ellerhøyere, iverksettes en klareringsprosess som vist i figur 3.1.Figur 3.1: Klarerings prosessenOmspurteKilderNSMKredittDSFBOT/SSP/STRASAKPSTAut. myndighetNSMKlareringsmyndighetKlareringsmyndighetKlareringsbevis/til autoriserendemyndighetDen som skal klareres (den omspurte) fyller ut personopplysningsblanketten og autorisasjonsmyndighetenkontrollerer at den er riktig fylt ut. Autorisasjonsmyndigheten skal deretterta en kopi av den originale personopplysningsblanketten, som påføres nødvendig informasjonfra autorisasjonsmyndigheten og sendes frem til klareringsmyndigheten. Original blankettskal oppbevares i saksomslag for personellsikkerhet. Etater der klareringsmyndighet eridentisk med autorisasjonsmyndighet, følger de samme prosedyrer. Kravet om oppbevaring isaksomslag er begrunnet i tilgangsrettigheter. Videre er krav til oppbevaring og eventuelloversendelse forskjellig for hhv. klarerings- og autorisasjonssaken. (Se også pkt. 7.)I den skriftlige begrunnelsen for klareringsanmodningen som skal vedlegges personopplysningsblanketten,må det fremgå hva som er årsaken til at den aktuelle personen har behovfor sikkerhetsklarering på angitt nivå. En henvisning til behov i stilling anses ikke som tilstrekkelig.Det må som et minimum fremgå hvilke arbeidsoppgaver vedkommende har, oghvilket graderingsnivå det er på informasjonen vedkommende vil kunne få tilgang til.Dersom klareringsbehovet er begrunnet i risikoen for vilkårlig tilgang, dvs. at det ikke foreliggertjenestelig behov, skal det fremgå av begrunnelsen hvilke sikkerhetstiltak som er vurdertfor å hindre denne tilgangen.Side 8 av 18UGRADERT

NSM 2006-12-20UGRADERT4 Autorisasjonssamtalen4.1 Hva er en autorisasjonssamtale?En autorisasjonssamtale er i sikkerhetslovens forskrift om personellsikkerhet § 5-5 beskrevetsom følger:For å avklare tillitsforholdet mellom autorisasjonsansvarlig og en person i forbindelse meddennes autorisasjon, skal autorisasjonsansvarlig sørge for at det blir avholdt en autorisasjonssamtalemed vedkommende.Autorisasjonssamtalen skjer altså lokalt og skal rutinemessig avholdes før autorisasjon gis.Begrepet sikkerhetssamtale 3 benyttes i dag om en eventuell samtale som avholdes av klareringsmyndigheteni forbindelse med behandlingen av en sikkerhetsklareringssak, og må ikkeforveksles med autorisasjonssamtalen. Autorisasjonssamtalen er nærmere beskrevet i pkt.4.3.Begrepet ”sørge for” i paragrafens første ledd betyr at autorisasjonsansvarlig kan delegeregjennomføring av samtalen. Samtalen bør fortrinnsvis ikke gjennomføres på lavere nivå ennavdelings-/seksjonsnivå i den sivile forvaltning og tilsvarende nivå innen Forsvaret, og detkan være naturlig at virksomhetens sikkerhetsleder gjennomfører denne.4.2 Når gjennomføres en autorisasjonssamtale?Tidspunktet for når en autorisasjonssamtale skal avholdes, er beskrevet i forskrift om personellsikkerhet§ 5-5 andre ledd:Autorisasjonssamtale skal gjennomføres1. før autorisasjon finner sted,2. når vedkommende person selv ønsker det,3. ved reklarering, eller4. når autorisasjonsansvarlig ellers finner grunn til det.[…] Ved autorisasjon for STRENGT HEMMELIG (eventuelt COSMIC TOP SECRET/tilsvarende)skal autorisasjonssamtale gjennomføres minst hvert annet år.Med referanse til pkt. 4. ovenfor, menes her situasjoner hvor autorisasjonsansvarlig blir kjentmed for eksempel straffbare forhold, lønnstrekk (påleggstrekk), alvorlige sikkerhetsbrudd,psykiske problemer m.v. som hefter ved den autoriserte/sikkerhetsklarerte. Se forøvrig sikkerhetsloven§ 21 om hvilke forhold som kan være relevante.4.3 Autorisasjonssamtalens innholdInnholdet i autorisasjonssamtalen er grovt beskrevet i forskrift om personellsikkerhet § 5-5fjerde og femte ledd:Den som avholder en autorisasjonssamtale skal1. informere om lokale sikkerhetsmessige forhold,2. forsikre seg om at vedkommende kjenner sikkerhetsmessige risikofaktorer og aktuelle sikkerhetsbestemmelser,3. kontrollere at opplysninger avgitt i personopplysningsblanketten er korrekte og oppdaterte, og3 Sikkerhetssamtale er nærmere beskrevet i sikkerhetsloven § 21 og personellsikkerhetsforskriften § 4-2.Side 9 av 18UGRADERT

NSM 2006-12-20UGRADERT4. få eventuelle ytterligere opplysninger av sikkerhetsmessig betydning.For personer med kortvarig behov for autorisasjon, f.eks. elever ved skoler og kurs og vernepliktigemannskaper, kan individuell autorisasjonssamtale erstattes av en felles orientering om sikkerhetsmessigerisikofaktorer og aktuelle sikkerhetsbestemmelser. Det skal likevel orienteres om denrett den enkelte har til å kreve individuell autorisasjonssamtale.NSM har valgt å beskrive det nærmere innholdet i et eget skjema (vedlegg B). Skjemaet erbygget opp med forslag til momenter, ut i fra de opplistede kravene i § 5-5.Det presiseres at felles orientering bare kan skje i de tilfeller som er nevnt i paragrafens femteledd. Med felles orientering menes i denne sammenheng at kravene som angitt i pkt. 1 og2. ovenfor, oppfylles. En felles gjennomgang av personopplysningsblanketten og utfyllingenav den, bør også tilstrebes. Orienteringen må ta for seg de forhold som er nærmere beskreveti vedlegg B. I forbindelse med orienteringen må det informeres om retten den enkelte hartil å få gjennomført en individuell autorisasjonssamtale, samt plikten vedkommende har til åbe om det (jf. § 24).4.3.1 SikkerhetsorienteringSikkerhetsorientering kan brukes når vedkommende ikke skal autoriseres, men kan få utilsiktettilgang til sikkerhetsgradert informasjon. Dette er ikke en vanlig autorisasjonssamtale,men brukes for eksempel overfor rengjøringspersonell som er sikkerhetsklarert, men ikkeautorisert. Innholdet i samtalen kan da være:en orientering om taushetsplikteventuelt hva vedkommende skal gjøre ved utilsiktet tilgang til sikkerhetsgradert informasjongenerelt om forebyggende sikkerhet4.3.2 Råd om gjennomføringRammen om samtalen bør være slik:Vær godt forberedt – autorisasjonssamtalen skal planlegges.Sett av tilstrekkelig med tid. Tidsnød kan ødelegge mye av utbyttet.Behandle personen høflig og jovialt for å oppnå et gjensidig tillitsforhold. Samtalen erikke et ”tredjegradsforhør”.Ha et åpent sinn.Still åpne spørsmål (”fortell om …”, ”forklar hvordan …”, osv.) og forsøk å unngå ledendespørsmål.Dersom vedkommende ikke redegjør tilstrekkelig for sikkerhetsmessig interessantetemaer, kom tilbake til temaet senere i samtalen. Hyppige avbrytelser gjør at vedkommendelett mister tråden.Det er for øvrig viktig at samtalens form og innhold tilpasses den enkeltes oppgaverog behov.Enklere opplysninger fra autorisasjonssamtalen kan nedtegnes i skjema til anvendelseved autorisasjonssamtale (vedlegg B). Dersom det fremkommer spesielle opplysninger,herunder opplysninger utløst av personellsikkerhetsforskriften § 5-5 andreledd pkt. 2 eller 4 (se pkt. 4.2), så skal denne type opplysninger som hovedregel ned-Side 10 av 18UGRADERT

NSM 2006-12-20UGRADERTtegnes separat i en egen rapport. Rapporten skal deretter legges sammen med deøvrige dokumenter i den enkeltes saksomslag for personellsikkerhet. (Se også pkt.7.)Fire vanlige feil under målrettede samtaler:Man er for lite flink til å lytte til HVA som blir sagt.Man tenker ut nye spørsmål – i stedet for å lytte.Man stiller for lange spørsmål.Man stiller flere spørsmål samtidig.5 AutorisasjonNår autorisasjonssamtalen er gjennomført, skal formell autorisasjon utføres av den autorisasjonsansvarlige,uavhengig av hvem som gjennomførte samtalen. Den autorisasjonsansvarligeskal ha all dokumentasjon på den autoriserte tilgjengelig, som for eksempel saksomslagfor personellsikkerhet med innhold. Kravet til innhold er: personopplysningsblankett, klareringsbevis,taushetserklæring og eventuelle andre opplysninger som er sikkerhetsmessig relevante(se også pkt. 7). Den formelle autorisasjonen gjøres ved at autorisasjonsansvarligpåtegner saksomslag for personellsikkerhet, og senere ved underskrift av autorisasjonslisten(se vedlegg D). Saksomslaget er en del av dokumentasjonen på at prosessen er gjennomførtiht. sikkerhetslovens bestemmelser. Autorisasjonslisten er redskapet for bl.a. arkiv-, post- ogIT-personell til anvendelse i deres arbeid med å gi andre tilgang til sikkerhetsgradert informasjon.5.1 AutorisasjonsansvarligDen enkelte virksomhets leder er ansvarlig for å autorisere personell for tilgang til sikkerhetsgradertinformasjon, jf. personellsikkerhetsforskriften § 5-1.Leder for en virksomhet som er underlagt en annen virksomhet, f.eks. NSM som er underlagtForsvarsdepartementet/Justisdepartementet, skal autoriseres av sin nærmeste overordnendemed autorisasjonsmyndighet, f.eks. departementsråd.Leverandører og andre private virksomheter som omfattes av sikkerhetsloven, autorisererpersonell for tilgang til sikkerhetsgradert informasjon som er i virksomhetens besittelse. I detilfeller hvor den sikkerhetsgraderte informasjonen ikke er i leverandør/privat virksomhets besittelse,er det den offentlige myndigheten som gir tilgang som også autoriserer.5.2 Delegering av autorisasjonsmyndighetNærhet mellom den som autoriseres og den autorisasjonsansvarlige, er nødvendig for effektivsikkerhetsmessig ledelse. Virksomhetens leder har anledning til å delegere myndighetentil å autorisere dersom virksomheten har et stort autorisasjonsbehov. NSM anbefaler likevelat denne delegeringsadgangen anvendes forsiktig. Delegering til lavere nivåer enn eksempelvisavdelings-/seksjonsnivå i den sivile del av forvaltningen og tilsvarende nivå innenForsvaret, bør bare skje i spesielle tilfelle, som for eksempel der de geografiske avstandeneer store. Delegering av autorisasjonsmyndighet skal skje skriftlig.Side 11 av 18UGRADERT

NSM 2006-12-20UGRADERT5.3 Vilkår for å autorisereSyv vilkår må være oppfylt før autorisasjon foretas. Personellsikkerhetsforskriftens § 5-2 angir:1. Nødvendig sikkerhetsklarering iht. lovens § 19Med nødvendig sikkerhetsklarering menes at vedkommende har gyldig klarering for detnivå vedkommende skal autoriseres for (eller høyere).2. Tjenestelig behovKravet til tjenestelig behov i paragrafens pkt. 2 innebærer at autorisasjon kun skal gis opptil og med det nivå det er et faktisk behov for at vedkommende får tilgang til. Dette gjelderselv om vedkommende skulle inneha en sikkerhetsklarering for et høyere nivå. Autorisasjongir ingen rett til tilgang til all informasjon gradert på et visst nivå. Det er bare informasjonrelevant for det saksfelt vedkommende arbeider med, som det er naturlig at vedkommendegis tilgang til (”need to know”-prinsippet). Denne vurderingen av tjenesteligbehov tilligger autorisasjonsansvarlig.3. Undertegnelse av taushetserklæringHensikten er å få bekreftet at den autoriserte er kjent med sin taushetsplikt og straffebestemmelsenetilknyttet brudd på taushetsplikten. Den autoriserte bekrefter med sin underskriftat dette er gjort kjent for vedkommende. Dersom taushetserklæringen er av eldredato, undertegnes en ny.4. Kjennskap til aktuelle sikkerhetsbestemmelserVedkommende skal kjenne til og forstå relevante sikkerhetsbestemmelser (sentrale og lokale).5. Autorisasjonssamtale er gjennomførtSikkerhetsmessig tillit skal avklares gjennom en personlig og målrettet samtale mellomautorisasjonsmyndigheten og den autoriserte. Se for øvrig eget punkt vedrørende autorisasjonssamtale.6. Sikkerhetsmessig skikkethet er avklartMan må gjennomføre en vurdering av den autorisertes vilje og evne til å etterleve sikkerhetslovensbestemmelser, samt at vedkommende for øvrig etterlever de alminnelige aksepterteregler og normer i samfunnet. Det skal ikke herske tvil om vedkommendes lojalitet,pålitelighet og sunne dømmekraft i forhold til behandling av skjermingsverdig informasjon.7. Identitetskontroll er foretattIdentitetskontroll er en verifisering av at vedkommende som autoriseres, faktisk er densom skal ha tilgang til sikkerhetsgradert informasjon. Godkjent identitetskort skal fremlegges.Side 12 av 18UGRADERT

NSM 2006-12-20UGRADERT6 Reautorisasjon – SH/CTSDersom den autoriserte er sikkerhetsklarert og autorisert for STRENGT HEMMELIG ellerCOSMIC TOP SECRET, skal ny autorisasjonssamtale (se pkt. 4) og formell autorisasjon (sepkt. 5) gjentas hvert annet år. Årsaken er at skadepotensialet er større på dette nivået ennpå de lavere nivå.Dersom den autoriserte skifter stilling og får en ny autorisasjonsansvarlig, bortfaller autorisasjonenautomatisk (se pkt. 9.1.3). Dersom den autorisasjonsansvarlige skifter stilling og vedkommendesom er autorisert, av denne grunn får ny autorisasjonsansvarlig, kan reautorisasjonforegå på to måter. Den ene er at ny autorisasjonsansvarlig legger den tidligereavholdte samtale til grunn for reautorisasjonen (som pkt. 5). Den andre måten er at autorisasjonsprosessensom beskrevet i pkt. 4. gjentas.7 Eventuelle endringer ved den autoriserteI løpet av den perioden autorisasjonen gjelder for, kan det oppstå endringer som gjør at autorisasjonen/sikkerhetsklareringenskal revurderes. Den enkelte autoriserte har en plikt ettersikkerhetslovens § 24 første ledd til å holde autorisasjonsansvarlig orientert om slike endringer.Denne plikten fremgår også av orienteringsdelen på personopplysningsblanketten.Autorisasjonsansvarlig skal etter samme paragraf samt personellsikkerhetsforskriftens § 5-8,foreta en vurdering av eventuelle innkommende opplysninger som er relevante å vurderemed tanke på sikkerhetsmessig skikkethet. Opplysninger som er relevante, er nærmerebeskrevet i sikkerhetsloven § 21 og omfatter bl.a.:straffbare handlingertrusselsituasjoner (også potensielle)avgivelse av uriktig eller feilaktig sikkerhetsmessig relevant informasjonmisbruk av rusmidlerpsykiske lidelsersikkerhetsbrudd/kompromitteringdårlig økonomitilknytning til innen- eller utenlandske organisasjoner med ulovlig formålEndring av sivilstand, som medfører endringer i personkontrollgrunnlaget, er også relevantog skal resultere i en reklareringsprosess.Dersom autorisasjonsansvarlig er usikker på hvilken betydning et forhold utgjør, i vurderingenav den sikkerhetsmessige skikkethet etter sikkerhetsloven § 24 femte ledd, sml. § 21 førsteledd, må forholdet meldes til klareringsmyndigheten. I tilfeller hvor autorisasjonsansvarligikke kan utelukke at klareringsmyndigheten vil kunne komme til et annet resultat i sin vurdering,må saken også meldes. Dersom disse tilfellene ikke blir meldt inn, hindres etterlevelseav sikkerhetsloven § 24 andre ledd.Side 13 av 18UGRADERT

NSM 2006-12-20UGRADERTOpplysninger som autorisasjonsansvarlig får kjennskap til og som kan tillegges betydning ien vurdering av vedkommendes sikkerhetsmessige skikkethet etter sikkerhetslovens § 21,må anses å være ”sikkerhetsmessig relevante” etter forskriftens § 6-3 og skal således oppbevaresi saksomslaget. Opplysningene vil eksempelvis kunne være forhold som hovedpersonenselv har informert om iht. sikkerhetslovens § 24, innrapporterte forhold fra andre, ellerinformasjon om disiplinære forhold vedrørende angjeldende person. Slike opplysninger kanmåtte bli oppbevart to steder da de både kan være personalopplysninger, som skal oppbevaresi den enkeltes personalmappe, og personellsikkerhetsopplysninger som skal oppbevaresi saksomslaget. Dersom opplysningene er rene personellsikkerhetsopplysninger, skal de ikkeoppbevares i personalmappen. Dette gjelder også autorisasjonsmyndighetens dokumentasjoni forbindelse med vurdering av autorisasjon og gjennomføring av autorisasjonssamtaler,samt eventuelt ytterligere innhentede opplysninger. Eventuelle personkontrollopplysningerklareringsmyndigheten har meddelt autorisasjonsansvarlig til bruk i den daglige sikkerhetsmessigeledelse og kontroll, skal heller ikke oppbevares i personalmappen 4 .8 ReklareringNår så sikkerhetsklareringen er i ferd med å løpe ut, skal reklarering iverksettes. En sikkerhetsklareringhar en gyldighetstid på inntil 5 år, men autorisasjonsansvarlig bør iverksettereklarering i god tid før utløpsdato. Hva som skal defineres som ”god tid” er avhengig av enrekke forhold. Hvis for eksempel den som skal reklareres, er eller har vært i utlandet (i løpetav) de siste 5 årene, bør reklarering iverksettes inntil 1 år i forveien av sikkerhetsklareringensutløpsdato. Andre forhold kan også påvirke behandlingen av reklareringssaken, for eksempelufordelaktige forhold som er nødvendig å belyse gjennom en sikkerhetssamtale og/eller andretiltak. En reklareringsprosesss kan derfor med fordel påbegynnes tidlig og bør uansettiverksettes 6 måneder før utløpet av den gjeldende sikkerhetsklareringen.En reklarering gjennomføres på akkurat samme måte som beskrevet i pkt. 3. Denne prosessener således ikke ”lettere” eller annerledes fra første gangs sikkerhetsklarering.9 Særskilte forhold9.1 Umyndige personerHovedregel er at man utviser forsiktighet med å gi umyndige tilgang til sikkerhetsgradert informasjon.Noen unntak foreligger, men autorisasjonen skal da bygge på den autorisasjonsansvarligesvurdering av bl.a. vedkommendes modenhet. Der er ikke anledning til å autoriserepersoner under 15 år.9.2 NødautorisasjonAkutt behov for redning av liv, helse eller store økonomiske verdier samt tvingende beredskapsmessigeeller operative forhold er eksempler på forhold som kan nødvendiggjøre ennødautorisasjon. Autorisasjon skal i slike tilfelle likevel ikke skje for høyere nivå enn det somer nødvendig ut fra situasjonen. Behov for autorisasjon ved påregnelige oppgaver, som eksempelvisdeltagelse på møter eller øvelser, hjemler ikke nødautorisasjon. For øvrig vises tilnødvergebestemmelsene i straffelovens §§ 47 og 48.4 I samsvar med sikkerhetslovens § 20 fjerde ledd og forskrift om personellsikkerhet § 4-4 første leddSide 14 av 18UGRADERT

NSM 2006-12-20UGRADERTVirksomheter som har gitt en nødautorisasjon, rapporterer til NSM i samsvar med forskrift omsikkerhetsadministrasjon kapittel 5. Betydningen av en omfattende og utfyllende autorisasjonssamtalevil her fremstå som særdeles stor.9.3 Bortfall av autorisasjonAutorisasjon bortfaller automatisk dersom (jf. sikkerhetsloven § 24):a) personen fratrer den stilling autorisasjonen omfatterMed å fratre menes her at vedkommende slutter i den konkrete stilling vedkommende harautorisasjon for å bekle.b) behovet for autorisasjon av andre grunner ikke lenger er til stedeDette kan være ved prosjektrelatert arbeid, omorganisering av stilling og tilsvarende.c) vedkommende ikke lenger innehar tilstrekkelig sikkerhetsklareringDette kan forekomme ved bortfall pga. utløp av gyldighetstid og tap eller nedsettelse avsikkerhetsklarering.I de tilfeller hvor autorisasjonen bortfaller, skal den tidligere autorisasjonsansvarlige gjørevedkommende oppmerksom på at taushetsplikten også gjelder for fremtiden 5 .9.4 Ufordelaktige avgjørelserVed en negativ autorisasjonsavgjørelse skal den autoriserte skriftlig orienteres om avgjørelsenog om at klareringsmyndigheten vil bli informert for å foreta en vurdering av sikkerhetsklareringen.Autorisasjonsavgjørelsen kan ikke påklages. Eksempel på skriftlig underretninger vedlagt (vedlegg C).Autorisasjonsmyndigheten plikter deretter å innrette seg etter den senere avgjørelse foretattav klareringsmyndigheten, dvs. bringe autorisasjonen i tråd med denne.Husk at negative autorisasjonsavgjørelser ikke skal fremkomme på autorisasjonslisten.Dvs. at dersom autorisasjonen er satt ned fra HEMMELIG til KONFIDENSIELT, så skalKONFIDENSIELT føres opp på autorisasjonslisten, men uten at dette fremstår som en nedsettelse.INGEN KLARERING (IK) skal heller ikke fremgå av autorisasjonslisten. I slike tilfellerskal vedkommende ikke føres opp på autorisasjonslisten.5 Jf. forskrift om informasjonssikkerhet § 3-3Side 15 av 18UGRADERT

NSM 2006-12-20UGRADERT10 Oppsummering10.1 Punktvis beskrivelse av prosessenAutorisasjonsprosessen kan beskrives i 11 punkter slik:Ved tilføring av allerede sikkerhetsklarertpersonell:1. Den sikkerhetsklarerte ankommervirksomheten.Ved nyansettelse:1. Den som er innstilt og skal få stillingen,blir bedt om å fylle ut personopplysningsblanketten.Påtegnetkopi fremsendes til klareringsmyndighet.2. Saksomslag for personell-sikkerhetopprettes/alternativt mottas fra tidligereautoriserende virksomhet. Separatjournalføring.2. Saksomslag for personellsikkerhetopprettes og journalføres i separatjournal.3. Saksomslaget skal som et minimum inneholde personopplysningsblankett, klareringsbevisog taushetserklæring.4. Dersom noe av innholdet ikke lar seg oppdrive før autorisasjon finner sted, fyllesen ny blank personopplysningsblankett ut av den sikkerhetsklarte. Bekreftelsepå sikkerhetsklarering innhentes ved å kontakte rette klareringsmyndighet.Virksomhetene skal deretter foreta undersøkelser hos tidligere arbeidsstedermed tanke på å få oversendt originalt klareringsbevis, eventuelt skal kopi av klareringsbevisinnhentes. Taushetserklæring undertegnes.5. Saksomslaget med innhold anvendes i autorisasjonssamtale, og vedkommendesom avholder samtalen, underskriver i saksomslagets venstre felt.6. Saksomslaget legges frem for autorisasjonsansvarlig, med anbefaling / ikke anbefalingom at den sikkerhetsklarte autoriseres.7. Autorisasjonsansvarlig foretar autorisasjonsavgjørelsen og påtegner angitt autorisasjonsnivå,samt underskriver i saksomslagets høyre felt.8. Pkt 5. gjentas ved a) reklarering, b) når autorisasjonsansvarlig finner grunn til deteller c) når den autoriserte selv ønsker det.9. Ved reklarering foretas ikke formell autorisasjon (pkt. 6) før ny sikkerhetsklareringforeligger.Side 16 av 18UGRADERT

NSM 2006-12-20UGRADERT10. Dersom forhold som beskrevet i pkt 8. b) eller c) inntreffer, foretas en revurderingav autorisasjon. Vurderingen skal dokumenteres skriftlig og avgjørelsen dokumenteressom angitt i pkt. 7. (Se for øvrig ”Ufordelaktige autorisasjonsavgjørelser”.)11. Ved opphør av tjeneste skal saksomslaget med innhold oversendes ny arbeidsgiveri tilfeller hvor ny arbeidsgiver omfattes av sikkerhetslovens bestemmelser.I tilfeller hvor vedkommende slutter i statsforvaltningen og for øvrig ikke går inn ivirksomheter som omfattes av sikkerhetsloven, eller går av med pensjon og tilsvarende,kan saksomslaget tilintetgjøres etter 1 år. Unntaket er taushetserklæringen,som skal overføres til vedkommendes personellpapirer. Vedlegg E og Fer eksempel på oversendelsesskriv og kvitteringsskjema for saksomslaget medinnhold.Side 17 av 18UGRADERT

NSM 2006-12-20UGRADERTVedlegg A Dokumenthistorie2006-06-01 Første utgivelse – Til prøve2006-12-20 Andre utgivelse – Fortsatt til prøve – noen språklige endringerSide 18 av 18UGRADERT